Kaspersky RakhniDecryptor

Download Ver. 1.17.8.2 - für Windows

Der Trojaner mit der Bezeichnung Trojan-Ransom.Win32.Rakhni ist heimtückisch. Er verschlüsselt Dateien und nur gegen eine Zahlung bekommt man sie wieder. Der Kaspersky RakhniDecryptor kann sie kostenlos wieder herstellen.

Mit sogenannter “Ransomware” versuchen die Kriminellen derzeit Geld aus ihren Trojanern zu schlagen. Sie verbreiten die Schädlinge in großem Maße und sobald sie gestartet werden, verschlüsseln sie wichtige Dateien. Dann bekommt das Opfer eine Meldung, dass sie nur gegen eine Zahlung über dubiose Bezahldienste eine Software bekommen, die diese Verschlüsselung wieder rückgängig macht. Natürlich versickert das Geld und man bekommt seine Daten nie wieder.

Bekannt sind laut den Virenexperten von Kaspersky folgende Datei-Endungen:

  • <Dateiname>.<ursprüngliche_Erweiterung>.<locked>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<kraken>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<darkness>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<oshit>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<nochance>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<oplata@qq_com>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<relock@qq_com>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<crypto>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<helpdecrypt@ukr.net>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<pizda@qq_com>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<dyatel@qq_com>
  • <Dateiname>.<ursprüngliche_Erweiterung>_crypt
  • <Dateiname>.<ursprüngliche_Erweiterung>.<nalog@qq_com>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<chifrator@gmail_com>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<gruzin@qq_com>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<troyancoder@gmail_com>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<encrypted>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<cry>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<AES256>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<coderksu@gmail_com_id373>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<coderksu@gmail_com_id371>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<coderksu@gmail_com_id372>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<coderksu@gmail_com_id374>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<coderksu@gmail_com_id375>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<coderksu@gmail_com_id376>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<coderksu@gmail_com_id392>
  • <Dateiname>.<ursprüngliche_Erweiterung>.<coderksu@gmail_com_id357>

Hieß die Datei also vorher Kundenbrief.doc, so heißt sie danach beispielsweise Kundenbrief.doc.locked.

Das kostenlose Tool Kaspersky RakhniDecryptor scannt die gesamte Festplatte und sucht nach solchen Dateien. Nach dem Start muss man den Pfad zu den verschlüsselten Dateien angeben. Vorher kann der Anwender festlegen, ob nur auf den Festplatten oder beispielsweise auch auf angeschlossenen USB-Datenträgern und auf Netzlaufwerken gesucht wird. Außerdem können wir uns hier entscheiden, nach der Entschlüsselung die überflüssigen, verschlüsselten Daten zu löschen.

Was danach passiert, ist einigermaßen unspektakulär. Das Tool tut seine Arbeit und sorgt Stück für Stück dafür, dass man seine Daten wiederbekommt. Allerdings – und darauf weist das Programm auch hin – kann es sehr, sehr lange dauern, bis eine Datei entschlüsselt wurde. Offenbar arbeitet der RakhniDecryptor hier mit der Brute-Force-Methode. Das bedeutet nichts anders, als dass er jede mögliche Zeichenkombination als Passwort durchprobiert. Im Extremfall – und währenddessen darf man den PC nicht ausschalten – kann das ein halbes Jahr dauern!

Gegen den Trojaner selbst tut es übrigens nichts. Den sollte man mit seinem Standard-Virenscanner selbst beseitigt haben, damit dieses Missgeschick nicht wieder passiert. Da jede einzelne Entschlüsselung einzeln vorgenommen wird und diese ja sehr lange dauern kann, ist das Tool zwar der letzte Rettungsanker, aber ein anständiges Backup ist allemal besser!

von

Weitere Themen: Kaspersky Labs